דלג לתוכן הראשי

A.5.34 פרטיות והגנה על מידע מזהה אישי (PII)

מטרה

מטרת הנוהל היא להבטיח כי הארגון מגן על מידע מזהה אישי (PII) בהתאם לדרישות החוק, הרגולציה, והחוזים המחייבים, וכי הפרטיות של בעלי המידע נשמרת באופן מיטבי.

תחום יישום

הנוהל חל על כל המידע המזהה אישי (PII) של אנשים שנמצא ברשות הארגון, לרבות מידע של לקוחות, עובדים, ספקים, וגורמים אחרים.

הגדרות

  • מידע מזהה אישי (PII): כל מידע שניתן להשתמש בו כדי לזהות אדם מסוים, כגון שם, כתובת, מספר טלפון, מספר זהות, כתובת דוא"ל, או נתונים ביומטריים.
  • פרטיות: הזכות של אדם לשלוט על המידע האישי שלו ולהגן עליו מפני חשיפה או שימוש בלתי מורשה.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול ויישום הנוהל, וכן על הבטחת ציות לדרישות החוקיות והרגולטוריות בנושא פרטיות והגנת מידע מזהה אישי.
  • מנהל המערכות האחראי: אחראי על יישום אמצעי ההגנה הטכניים והארגוניים להגנת מידע מזהה אישי.
  • כל עובדי הארגון: מחויבים לשמור על פרטיות המידע המזהה אישי בהתאם לנוהל ולמדיניות הארגון.

תהליך

1. זיהוי מידע מזהה אישי (PII)

  • הארגון יזהה את כל המידע המזהה אישי (PII) שנמצא ברשותו, לרבות סוג המידע, היקפו, וחשיבותו.
  • כל מידע חדש שנכנס לארגון ייבחן על מנת לקבוע האם הוא מהווה מידע מזהה אישי.

2. הערכת סיכונים

  • הארגון יבצע הערכת סיכונים בנוגע להגנה על מידע מזהה אישי, על מנת לזהות את הסיכונים האפשריים להדלפה, שימוש לא מורשה, או אובדן מידע.
  • הערכת הסיכונים תכלול ניתוח של איומים פנימיים וחיצוניים על המידע המזהה אישי.

3. פיתוח ויישום בקרות

  • הארגון יפתח ויישם בקרות מתאימות להגנה על מידע מזהה אישי, כגון בקרות גישה, הצפנה, ותהליכי בקרה.
  • בקרות הגישה יבטיחו שרק בעלי הרשאות מתאימות יוכלו לגשת למידע המזהה אישי.
  • מידע מזהה אישי יוגן באמצעות הצפנה הן בעת שמירתו והן בעת העברתו.

4. תחזוקה ובקרה

  • הארגון יבצע תחזוקה ובקרה שוטפת של אמצעי ההגנה על מידע מזהה אישי כדי לוודא שהם פועלים ביעילות.
  • כל שינוי בתשתיות המידע או בתהליכי העבודה ייבחן במטרה לוודא שהמידע המזהה אישי נשמר באופן מאובטח.

5. ניהול תקריות פרטיות

  • הארגון יפעל על פי נוהל ניהול תקריות פרטיות במקרה של חשש להדלפה או שימוש לא מורשה במידע מזהה אישי.
  • כל תקרית תדווח באופן מיידי לממונה אבטחת מידע ותטופל בהתאם לתהליכים שנקבעו.

6. הדרכת עובדים

  • הארגון ידריך את עובדיו באופן קבוע בנוגע לשמירה על פרטיות המידע המזהה אישי ולשימוש נכון בו.
  • העובדים יחתמו על הצהרת סודיות והתחייבות לשמירה על פרטיות המידע.

7. שמירה והשמדה של מידע מזהה אישי

  • הארגון יקבע מדיניות ברורה לשמירה והשמדה של מידע מזהה אישי בהתאם לדרישות החוקיות, הרגולטוריות והעסקיות.
  • מידע מזהה אישי יישמר רק כל עוד הוא נחוץ לצרכי הארגון, ולאחר מכן יושמד באופן מאובטח.

הערות

  • הארגון יבטיח כי כל העובדים מודעים לחשיבות השמירה על פרטיות המידע המזהה אישי וכי הם פועלים בהתאם למדיניות הארגון.
  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לפרטיות והגנה על מידע מזהה אישי ויעדכן את הנוהל בהתאם לשינויים בארגון או בסביבה החיצונית.